Член 15

Използване на вътрешни лица, провеждащи тестове

1.Финансовите субекти установяват всички изброени по-долу правила за използване на вътрешни лица, провеждащи тестове:

а) създаване и прилагане на политика за управление на вътрешните лица, провеждащи тестове, при тестването за проникване;

б) мерки, които да гарантират, че използването на вътрешни лица, провеждащи тестове, за извършване на тестването за проникване не оказва отрицателно въздействие върху общия капацитет за защита или за устойчивост на финансовия субект по отношение на инциденти с ИКТ, или не оказва значително въздействие върху наличността на ресурсите, предназначени за задачи, свързани с ИКТ, по време на тестването за проникване;

в) мерки, за да се гарантира, че вътрешните лица, провеждащи тестове, разполагат с достатъчно ресурси и възможности за извършване на тестването за проникване.

политиката, посочена в буква а):

а) съдържа критерии за оценка на пригодността, компетентността и потенциалните конфликти на интереси на вътрешните лица, провеждащи тестове, и определя отговорностите на ръководството в процеса на тестване;

б) се документира и се подлага на периодичен преглед;

в) предвижда, че вътрешният екип за тестване включва ръководител на тестването и поне двама допълнителни членове;

г) изисква всички членове на екипа за теста да са били наети от финансовия субект или от вътрешногрупов доставчик на услуги в областта на ИКТ през предходните 12 месеца;

д) включва разпоредби за обучение на вътрешните лица, провеждащи тестове, за извършване на тестване за проникване и тестване чрез червен екип.

2.Когато органът в областта на тестването за проникване одобрява използването на вътрешни лица, провеждащи тестове, в съответствие с член 27, параграф 2, буква а) от Регламент (ЕС) 2022/2554, той взема предвид изискванията, посочени в член 7, параграф 1 от настоящия регламент.

3.Когато използва вътрешни лица, провеждащи тестове, финансовият субект гарантира, че това използване е упоменато в следните документи:

а) информацията за задействане на теста по член 9;

б) доклада от теста чрез червен екип по член 12, параграф 2;

в) доклада, обобщаващ съответните констатации от тестването за проникване, посочен в член 26, параграф 6 от Регламент (ЕС) 2022/2554.

4.Провеждащите тестове лица, наети от вътрешногрупов доставчик на услуги в областта на ИКТ, се считат за вътрешни провеждащи тестове лица на финансовия субект.